有一个Windows 2008服务器,有一个本地用户帐户,有一个已知的密码 – 让它成为用户“虚拟”和密码“dummy1”。 该本地用户只属于“用户”组。
攻击者没有本地访问服务器。
如果攻击者知道本地用户的用户名和密码,可以远程滥用服务器吗?
是。
“不好的事情发生”的path是使用该帐户来利用任何远程侦听的未修补的服务,然后可能使用另一种types的攻击提升到pipe理员。 现在他们有pipe理员,如果有任何服务或进程与域pipe理员或其他提升的权利,他们可以获得该帐户的密码,然后他们拥有自己的networking。
因此,第一条规则将限制他们可以访问的端口/服务,然后确保每个月都对系统进行全面修补,包括应用程序。
如果攻击者在任何系统上都有用户名和密码,与没有这种细节的攻击者相比,他们成功攻击该服务器的机会有所增加。 这里没有什么神话:即使他们不能直接使用受损的证书,更多的信息总是比信息更less。
某些系统可能以比其他系统更安全(或不太安全)的方式进行configuration,特定用户可能具有特定权限,具体取决于其创build原因,在某些情况下风险更高或更低,并且如果用户与,说一个数据库或Web应用程序或其他服务器应用程序,那么至less它可能被用来窃取信息,这可能是一个比“仅仅”为了系统而生根系统而没有别的事情的更大的问题。
这不是真正的操作系统特定的; 不pipe讨论的操作系统如何,我都会保留上面的注释。
如果用户在系统上拥有terminal服务login权限(或者是域帐户,域中的任何其他系统),则攻击者可以像他在键盘上login一样,对服务器做任何他喜欢的事情,该帐户的安全信用限额 。
但是,我们已经看到很多未修补的服务和应用程序的例子,这些例子在以特定方式攻击(SQL注入,缓冲区溢出,您命名它)时导致权限提升。
系统中的每个帐户都是一个漏洞,因此您应该时刻警惕用户的访问量,密码更改频率,密码强度以及允许login的方式。 我的政策非常简单:“在需要时给他们所需要的东西,而不是别的。” 如果这意味着在非工作时间禁用帐户,或在人们休假时locking帐户,或者closuresterminal访问权限,直到有人说“我需要login到此系统”…就这样吧。
我宁愿被合法请求所困扰,也不愿意被黑客问题在夜间熬夜。